如何使用客户端证书在 Web API 中进行身份验证和授权

2024-02-27

我尝试使用客户端证书对使用 Web API 的设备进行身份验证和授权，并开发了一个简单的概念证明来解决潜在解决方案的问题。我遇到了 Web 应用程序未收到客户端证书的问题。许多人报告了这个问题，包括在这个问答中 https://stackoverflow.com/questions/22197762/webapi-httpclient-not-sending-client-certificate，但他们都没有答案。我的希望是提供更多细节来恢复这个问题，并希望得到我的问题的答案。我对其他解决方案持开放态度。主要要求是用 C# 编写的独立进程可以调用 Web API 并使用客户端证书进行身份验证。

此 POC 中的 Web API 非常简单，仅返回单个值。它使用一个属性来验证是否使用了 HTTPS 以及是否存在客户端证书。

public class SecureController : ApiController
{
    [RequireHttps]
    public string Get(int id)
    {
        return "value";
    }

}

以下是 RequireHttps 属性的代码：

public class RequireHttpsAttribute : AuthorizationFilterAttribute 
{ 
    public override void OnAuthorization(HttpActionContext actionContext) 
    { 
        if (actionContext.Request.RequestUri.Scheme != Uri.UriSchemeHttps) 
        { 
            actionContext.Response = new HttpResponseMessage(System.Net.HttpStatusCode.Forbidden) 
            { 
                ReasonPhrase = "HTTPS Required" 
            }; 
        } 
        else 
        {
            var cert = actionContext.Request.GetClientCertificate();
            if (cert == null)
            {
                actionContext.Response = new HttpResponseMessage(System.Net.HttpStatusCode.Forbidden)
                {
                    ReasonPhrase = "Client Certificate Required"
                }; 

            }
            base.OnAuthorization(actionContext); 
        } 
    } 
}

在此 POC 中，我只是检查客户端证书的可用性。一旦此功能生效，我可以添加对证书中信息的检查，以根据证书列表进行验证。

以下是 IIS 中针对此 Web 应用程序的 SSL 设置。

以下是发送带有客户端证书的请求的客户端的代码。这是一个控制台应用程序。

    private static async Task SendRequestUsingHttpClient()
    {
        WebRequestHandler handler = new WebRequestHandler();
        X509Certificate certificate = GetCert("ClientCertificate.cer");
        handler.ClientCertificates.Add(certificate);
        handler.ServerCertificateValidationCallback = new RemoteCertificateValidationCallback(ValidateServerCertificate);
        handler.ClientCertificateOptions = ClientCertificateOption.Manual;
        using (var client = new HttpClient(handler))
        {
            client.BaseAddress = new Uri("https://localhost:44398/");
            client.DefaultRequestHeaders.Accept.Clear();
            client.DefaultRequestHeaders.Accept.Add(new MediaTypeWithQualityHeaderValue("application/json"));

            HttpResponseMessage response = await client.GetAsync("api/Secure/1");
            if (response.IsSuccessStatusCode)
            {
                string content = await response.Content.ReadAsStringAsync();
                Console.WriteLine("Received response: {0}",content);
            }
            else
            {
                Console.WriteLine("Error, received status code {0}: {1}", response.StatusCode, response.ReasonPhrase);
            }
        }
    }

    public static bool ValidateServerCertificate(
      object sender,
      X509Certificate certificate,
      X509Chain chain,
      SslPolicyErrors sslPolicyErrors)
    {
        Console.WriteLine("Validating certificate {0}", certificate.Issuer);
        if (sslPolicyErrors == SslPolicyErrors.None)
            return true;

        Console.WriteLine("Certificate error: {0}", sslPolicyErrors);

        // Do not allow this client to communicate with unauthenticated servers.
        return false;
    }

当我运行此测试应用程序时，我收到状态代码 403 Forbidden，原因短语为“需要客户端证书”，表明它正在进入我的 RequireHttpsAttribute 并且未找到任何客户端证书。通过调试器运行它，我已经验证了证书已加载并添加到 WebRequestHandler 中。证书将导出到正在加载的 CER 文件中。带有私钥的完整证书位于 Web 应用程序服务器的本地计算机的个人和受信任根存储中。对于此测试，客户端和 Web 应用程序在同一台计算机上运行。

我可以使用 Fiddler 调用此 Web API 方法，附加相同的客户端证书，并且效果很好。使用 Fiddler 时，它通过 RequireHttpsAttribute 中的测试并返回成功状态代码 200 并返回预期值。

有人遇到过 HttpClient 不在请求中发送客户端证书的相同问题并找到解决方案吗？

更新1：

我还尝试从包含私钥的证书存储中获取证书。这是我检索它的方法：

    private static X509Certificate2 GetCert2(string hostname)
    {
        X509Store myX509Store = new X509Store(StoreName.My, StoreLocation.LocalMachine);
        myX509Store.Open(OpenFlags.ReadWrite);
        X509Certificate2 myCertificate = myX509Store.Certificates.OfType<X509Certificate2>().FirstOrDefault(cert => cert.GetNameInfo(X509NameType.SimpleName, false) == hostname);
        return myCertificate;
    }

我验证了该证书是否已正确检索，并且已添加到客户端证书集合中。但我得到了相同的结果，服务器代码没有检索任何客户端证书。

为了完整起见，这里是用于从文件检索证书的代码：

    private static X509Certificate GetCert(string filename)
    {
        X509Certificate Cert = X509Certificate.CreateFromCertFile(filename);
        return Cert;

    }

您会注意到，当您从文件中获取证书时，它返回一个 X509Certificate 类型的对象，而当您从证书存储中检索它时，它的类型为 X509Certificate2。 X509CertificateCollection.Add 方法需要 X509Certificate 类型。

更新2：我仍在试图解决这个问题，并尝试了许多不同的选择，但无济于事。

我将 Web 应用程序更改为在主机名而不是本地主机上运行。
我将 Web 应用程序设置为需要 SSL
我验证了证书已设置为客户端身份验证并且位于受信任的根中
除了在 Fiddler 中测试客户端证书之外，我还在 Chrome 中验证了它。

在尝试这些选项的过程中，有一次它开始起作用。然后我开始撤销更改，看看是什么导致它起作用。它继续工作。然后我尝试从受信任的根中删除证书以验证这是必需的，但它停止工作，现在即使我将证书放回受信任的根中，我也无法使其恢复工作。现在 Chrome 甚至不会提示我输入它所使用的证书，并且在 Chrome 中失败，但在 Fiddler 中仍然有效。我一定缺少一些神奇的配置。

我还尝试在绑定中启用“协商客户端证书”，但 Chrome 仍然不会提示我输入客户端证书。这是使用“netsh http show sslcert”的设置

 IP:port                 : 0.0.0.0:44398
 Certificate Hash        : 429e090db21e14344aa5d75d25074712f120f65f
 Application ID          : {4dc3e181-e14b-4a21-b022-59fc669b0914}
 Certificate Store Name  : MY
 Verify Client Certificate Revocation    : Disabled
 Verify Revocation Using Cached Client Certificate Only    : Disabled
 Usage Check    : Enabled
 Revocation Freshness Time : 0
 URL Retrieval Timeout   : 0
 Ctl Identifier          : (null)
 Ctl Store Name          : (null)
 DS Mapper Usage    : Disabled
 Negotiate Client Certificate    : Enabled

这是我正在使用的客户端证书：

我对问题所在感到困惑。我正在为任何可以帮助我解决这个问题的人添加赏金。

跟踪帮助我找到了问题所在（谢谢 Fabian 的建议）。经过进一步测试，我发现我可以让客户端证书在另一台服务器（Windows Server 2012）上工作。我正在我的开发机器（Windows 7）上对此进行测试，以便我可以调试此过程。因此，通过将跟踪与正常运行的 IIS 服务器和未正常运行的 IIS 服务器进行比较，我能够查明跟踪日志中的相关行。以下是客户端证书工作的日志的一部分。这是发送前的设置

System.Net Information: 0 : [17444] InitializeSecurityContext(In-Buffers count=2, Out-Buffer length=0, returned code=CredentialsNeeded).
System.Net Information: 0 : [17444] SecureChannel#54718731 - We have user-provided certificates. The server has not specified any issuers, so try all the certificates.
System.Net Information: 0 : [17444] SecureChannel#54718731 - Selected certificate:

以下是客户端证书失败的计算机上的跟踪日志的样子。

System.Net Information: 0 : [19616] InitializeSecurityContext(In-Buffers count=2, Out-Buffer length=0, returned code=CredentialsNeeded).
System.Net Information: 0 : [19616] SecureChannel#54718731 - We have user-provided certificates. The server has specified 137 issuer(s). Looking for certificates that match any of the issuers.
System.Net Information: 0 : [19616] SecureChannel#54718731 - Left with 0 client certificates to choose from.
System.Net Information: 0 : [19616] Using the cached credential handle.

关注指示服务器指定 137 个发行者的行，我发现了这一点与我的问题相似的问答 https://stackoverflow.com/questions/9858275/net-application-fails-to-send-client-certificate-win-7-vs-win-xp。对我来说，解决方案不是标记为答案的解决方案，因为我的证书位于受信任的根中。答案是其下的那个 https://stackoverflow.com/a/19502296/722393更新注册表的位置。我刚刚将该值添加到注册表项中。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

值名称：SendTrustedIssuerList 值类型：REG_DWORD 值数据：0 (False)

将此值添加到注册表后，它开始在我的 Windows 7 计算机上运行。这似乎是 Windows 7 的问题。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

如何使用客户端证书在 Web API 中进行身份验证和授权的相关文章

GCC C++ (ARM) 和指向结构体字段的 const 指针

假设有一个简单的测试代码 typedef struct int first int second int third type t define ADDRESS 0x12345678 define REGISTER type t ADDRE
Mono 无法保存用户设置

我在 Mono Ubuntu 上保存用户设置时遇到问题这是代码示例 private void Form1 Load object sender EventArgs e string savedText Properties Setting
MEX 文件中的断言导致 Matlab 崩溃

我正在使用mxAssert 宏定义为matrix h在我的 C 代码中 mex 可以完美编译当我调用的 mex 代码中违反断言时该断言不会导致我的程序崩溃而是导致 Matlab 本身崩溃我错过了什么吗这是有意的行为吗当我查看 M
Qt - 无法让 lambda 工作[重复]

这个问题在这里已经有答案了我有以下功能我想在其中修剪我的std set
添加对共享类的多个 WCF 服务的服务引用

我正在尝试将我的 WCF Web 服务拆分为几个服务而不是一个巨大的服务但是 Visual Studio Silverlight 客户端复制了两个服务共享的公共类这是一个简单的例子来说明我的问题在此示例中有两个服务两者都返回类
如何进行带有偏差的浮点舍入（始终向上或向下舍入）？

我想以偏置舍入浮动要么总是向下要么总是向上代码中有一个特定的点我需要这个程序的其余部分应该像往常一样四舍五入到最接近的值例如我想四舍五入到最接近的 1 10 倍数最接近 7 10 的浮点数约为 0 69999998807 但
获取两个字符串之间的公共部分c# [关闭]

Closed 这个问题需要多问focused help closed questions 目前不接受答案我需要的是获取两个单词之间的共同部分并获取差异例子场景1 word1 感言 word2 Test 将返回公共部分Test 不同之
捕获 foreach 条件中抛出的异常

我有一个foreach在 foreach 本身的条件下循环期间中断的循环有没有办法try catch抛出异常然后继续循环的项这将运行几次直到异常发生然后结束 try foreach b in bees exception is in
std::map 和二叉搜索树

我读过 std map 是使用二叉搜索树数据结构实现的 BST 是一种顺序数据结构类似于数组中的元素它将元素存储在 BST 节点中并按其顺序维护元素例如如果元素小于节点则将其存储在节点的左侧如果元素大于节点则将其存储在节点的右侧
调试内存不足异常

在修复我制作的小型 ASP NET C Web 应用程序的错误时我遇到了 OutOfMemoryException 没有关于在哪里查看的提示因为这是一个编译时错误如何诊断此异常我假设这正是内存分析发挥作用的地方有小费吗 Thank
为什么 std::allocator 在 C++17 中丢失成员类型/函数？

一边看着std 分配器 http en cppreference com w cpp memory allocator 我看到成员 value type pointer const pointer reference const refer
Xamarin Android：获取内存中的所有进程

有没有办法读取所有进程而不仅仅是正在运行的进程如果我对 Android 的理解正确的话一次只有一个进程在运行其他所有进程都被冻结后台进程被忽略您可以使用以下代码片段获取当前正在运行的所有 Android 应用程序进程 Activ
gdb 在 docker 上立即退出“进程已完成，退出代码 1”或 lldb“数据包返回错误 8”。另外：如何在 docker 中允许进行 C++ 调试

这花了我一整天的时间才找到所以我将其发布以供将来参考我正在 docker 镜像上开发 C 我正在使用克利翁我的代码是在调试模式下编译的并且在运行模式下运行良好但是当尝试调试时进程会立即退出并显示非常丰富的信息 Process
通过不同 DLL 或 EXE 中的指针或引用访问 STL 对象时发生访问冲突

我在使用旧版 VC6 时遇到以下问题我只是无法切换到现代编译器因为我正在处理遗留代码库 http support microsoft com kb 172396 http support microsoft com kb 172396
组合框项目为空但数据源已满

将列表绑定到组合框后其 dataSource Count 为 5 但组合框项目计数为 0 怎么会这样我习惯了 Web 编程而且这是在 Windows 窗体中进行的所以不行combo DataBind 方法存在这里的问题是我试图以
在 C 中复制两个相邻字节的最快方法是什么？

好吧让我们从最明显的解决方案开始 memcpy Ptr const char a b 2 调用库函数的开销相当大编译器有时不会优化它我不会依赖编译器优化但即使 GCC 很聪明如果我将程序移植到带有垃圾编译器的更奇特的平台上我也不
如何在 GCC 5 中处理双 ABI？

我尝试了解如何克服 GCC 5 中引入的双重 ABI 的问题但是我没能做到这是一个重现错误的非常简单的示例我使用的GCC版本是5 2 如您所见我的主要函数在 main cpp 文件中非常简单 main cpp include
如何查明CONFIG_FANOTIFY_ACCESS_PERMISSIONS是否启用？

我想利用fanotify 7 http man7 org linux man pages man7 fanotify 7 html我遇到的问题是在某些内核上CONFIG FANOTIFY ACCESS PERMISSIONS不起作用虽然C
为什么 Ajax.BeginForm 在 Chrome 中不起作用？

我正在使用 c NET MVC2 并尝试创建一个 ajax 表单来调用删除数据库记录 RemoveRelation 的方法删除记录的过程正在按预期进行删除记录后表单应调用一个 JavaScript 函数从视觉效果中删除该记录 Rem
WPF/数据集：如何通过 XAML 将相关表中的数据绑定到数据网格列中？

我正在使用 WPF DataSet 连接到 SQL Server Express XAML 和 C Visual Studio 2013 Express 我从名为 BankNoteBook 的现有 SQL Server Express 数据

随机推荐

无法在设备“emulator-5554”上安装 apk：超时

我是 Android 开发新手我尝试在此文件夹中运行 LunarLander 项目根据示例创建新项目 C Program Files Android android sdk windows samples android 9 Lunar
在 Android 10 上以编程方式断开 Wifi

I use WifiNetworkSuggestion以编程方式将我的应用程序连接到我的热点但是当我尝试以编程方式断开此连接时我使用了removeNetworkSuggestions就像文档提到的那样删除之前的部分或全部网络建议由应
在 PHP 中管理巨型数组

我正在为某人对数百万条旧日志条目进行数据挖掘并且真的想在这件事上使用 PHP 来呈现这些材料并将它们轻松链接到现有的 PHP 系统我在终端 OSX 10 8 的 PHP 5 4 4 中运行此代码 Settings ini set er
如何在 R 中显式调用函数参数的默认值？

如何告诉 R 使用函数参数的默认值而无需 i 省略函数调用中的参数以及 ii 不知道默认值是什么我知道我可以使用默认值mean in rnorm rnorm n 100 by omitting the argument or rnorm
如何将 FormsAuthentication cookie 添加到 HttpClient HttpRequestMessage

我试图通过调用 FormsAuthentication SetAuthCookie someUser false 来验证内部集成测试之后我确实需要调用 WebAPI 并且不会收到未经授权的异常因为我已经应用了授权属性我正在使用此代码来
Ruby Koans：为什么将符号列表转换为字符串

我指的是 Ruby Koans 中 about symbols rb 中的这个测试https github com edgecase ruby koans blob master src about symbols rb L26 https
如何从 Perl 与 ClearCase 交互？

我的项目需要使用 Excel 工作表中的 Perl 脚本从 ClearCase 数据中提取一些内容这些内容是通过给出两条特定的时间线或两条基线该基线内关联的所有活动列标题活动所有者 ID 列标题所有者特定活动中关联的所有元素
插座之间的管道

我有一个充当镜像的 C 服务器输入的内容会输出到不同的套接字现在它将套接字读入缓冲区并将其写入另一个套接字我想提高吞吐量 I ve 读东西 http www kegel com c10k html zerocopy about se
点之间的欧几里得距离

我在 numpy 中有一个点数组 points rand dim n points 我想计算某个点与所有其他点之间的所有 l2 范数欧几里得距离计算所有成对距离最好都是 numpy 而没有 for 一个人怎样才能做到呢如果您愿意使
PropertyPlaceholderConfigurer 从 XML 文件读取（Apache Commons 配置）

是否可以配置 Spring PropertyPlaceholderConfigurer 来读取 properties xml 通过 Apache Commons 配置我在帮助下找到了解决方案seanizer https stackover
如何使用nodejs禁用Chrome的会话恢复警告？

如何通过 NodeJS 在 Windows 中重新启动 Chromium Google Chrome 信息亭模式以便它在重新启动时正常启动浏览器就像普通人使用它一样当我每次重新启动 Chromium Google chrome 时使用
图像周围出现尴尬的线条

可能最容易用图像来解释我想要什么当我浮动图像时文本围绕它运行这很棒但是根据文本量和图像大小我经常会遇到这些尴尬的情况在这种情况下尴尬的文本在图像旁边的列中看起来会更好 I could根据有多少尴尬的文本为图像添加更多的底部边
何时选择在 SSIS 的 Lookup 组件中进行缓存

在SSIS查找中有3种类型的缓存完整部分和无缓存在我们的解决方案中它一直使用默认的完整是否有任何特定的场景可以使用部分缓存无缓存在我们的解决方案中锁定表总是很小例如我们一直在查看小表来获取类型或获取描述这可能是它在
按最新排序，但按另一个 ID 列放在一起

我正在尝试进行一些排序并保持在一起不是真正的分组工作在我的示例数据中我想将 DealerID 保留在一起按 IsPrimaryDealer DESC 排序但按最新条目显示经销商组好吧也许是分组结果集 2 是最接近的但 G
为ListView自定义CheckedTextView

据我所知 ListView嵌入了CheckedTextView来形成列表但是每个CheckedTextView只有一个TextView和一个CheckBox 我想要做的是将一些 TextView 添加到 CheckedTextView 中
使用 PostgreSQL 在 WITH(CTE) 中创建

我正在尝试使用 PostgreSQL 中的函数在WITH 中创建临时表 Example with mm as select from test create table xyz as select from mm Note 在创建附近出现错
在 Django 模板中执行 Javascript 和 css

我正在 Django 应用程序中通过 Weasyprint 将 HTML 导出为 PDF 我注意到如果我将模板 html 发送到前端并将该 html 返回到后端以将其导出为 pdf 它会完美打印但如果我直接将模板 html 发送到 We
如何在 C++ 中的 while 循环中存储先前的迭代？

我看到有一个类似标题的答案但内容对我来说太密集了因为我不太了解 C 我对编程非常陌生我不知道如何在 while 循环中存储先前的迭代我正在尝试使用 while 循环将用户文本写入文件并以两个结束输入 n人物这就是我的问题所在因
当我添加到数组时，svelte 列表不会更新

我刚刚开始使用 svelte 所以这可能是一个菜鸟问题我有一个列表我可以从数组中删除项目并且列表 each 更新没有问题但是如果我将一个项目添加到数组中列表不会重新绘制直到我删除另一个项目 https svelte dev r
如何使用客户端证书在 Web API 中进行身份验证和授权

我尝试使用客户端证书对使用 Web API 的设备进行身份验证和授权并开发了一个简单的概念证明来解决潜在解决方案的问题我遇到了 Web 应用程序未收到客户端证书的问题许多人报告了这个问题包括在这个问答中 https stackove

如何使用客户端证书在 Web API 中进行身份验证和授权

如何使用客户端证书在 Web API 中进行身份验证和授权 的相关文章

随机推荐

热门标签

如何使用客户端证书在 Web API 中进行身份验证和授权的相关文章